Nuestra Estrategia, SGI - Sistema de Gestión de la ... en la informacion y... · NTP-ISO/IEC 27001:2008 Diversos países han promulgado leyes de protección de datos personales ,

ISO 14001:2004

OHSAS 18001:2007

INTEGRAR:Fusionar N partes, obteniendo un todo, que incluyepartes comunes y partes específicas de cada norma.

SGI

SGI - Sistema de Gestión de la Calidad

Nuestra Estrategia, EL DESARROLLO COMPETITIVO.

www.intedya.com

Estándares nacionales en materia de protección de datos personales

(Rev.00 Julio 2016)

Presentación Inicial de Consultoría

Intedya es una entidad internacional presente en más de 16 países de 3 continentes competente en

la consultoría, auditoría y formación en el ámbito de la gestión de la Calidad, el Medio Ambiente, la

Seguridad e Inocuidad Alimentaria, Laboral y de la Información, en organizaciones públicas y privadas

de cualquier tipo de actividad y dimensión.

Nuestra estrategia del “Desarrollo Competitivo” se basa en nuestra experiencia y capacidad para

ayudar a los clientes a rendir al máximo nivel y, de esta forma, crear valor sostenible para sus

clientes, proveedores, accionistas y la sociedad de la que forman parte.

DIMENSIÓN Y PRESENCIA

Con presencia directa en 16 países de 3 continentes, disponemos de la capacidad para dar servicio en cualquier

país de la Unión Europea, América y África, formando una de las mayores redes internacionales en nuestra

especialidad.

DESARROLLO COMPETITIVO

ESTADOS UNIDOS

MÉXICO

REPÚBLICA DOMINICANA

GUATEMALA

COLOMBIA

PERÚ

ECUADOR

BOLIVIA

BRASIL

PARAGUAY

ARGENTINA

URUGUAY

CHILE

ESPAÑA

ANDORRA

PORTUGAL

ANGOLA

Áreas de conocimiento

Calidad y Excelencia

ISO 9001 - Sistemas de Gestión de la Calidad

ISO 9001. Sistemas de Gestión de la Calidad

Transición ISO 9001:2015

ISO/TS 16949. Sistemas de Gestión de la Calidad en el Sector de la

Automoción

EN 9100. Sistemas de Gestión de la Calidad en el Sector Aeroespacial

ISO 13485. Sistemas de Gestión de la Calidad para Productos

Sanitarios

ISO 18091. Directrices para la aplicación de la Norma ISO 9001:2008

en el Gobierno Local

RtQ . Road to Quality

EFQM. Modelo de Excelencia y Calidad

ISO 9004. Sistemas de Gestión Avanzada

Metodología 5´s Lean Manufacturing

ISO 15189. Sistemas de Gestión de la Calidad en Laboratorios Clínicos

ISO/IEC 17025. Laboratorios de ensayo y de calibración

ISO 22716. Guía de Buenas Prácticas de Fabricación de Cosméticos

ISO/IEC 20000-1. Gestión del Servicio

UNE 166002. Sistemas de Gestión de la I+D+i

Normas de Calidad Sectoriales

Sostenibilidad

ISO 14001. Sistemas de Gestión Ambiental

Transición ISO 14001:2015

ISO 50001. Sistemas de Gestión Energética

Verificación EMAS

ISO 14006. Gestión del Ecodiseño

ISO 14067. Huella de Carbono de Productos

ISO 14064. Huella de Carbono de Organizaciones

ISO 14046. Huella de Agua

PEFC y FSC. Cadena de Custodia de Productos Forestales

RSPO. Cadena de Custodia del Aceite de Palma

LEED. Estándar de Edificación Sostenible

Industria Limpia, Calidad Ambiental y Calidad Ambiental Turística

ISO 26000. Guía sobre Responsabilidad Social

SGE21. Gestión Ética y Responsabilidad Empresarial

SA 8000. Responsabilidad Social Internacional

Sistemas de Gestión de Igualdad de Género

Distintivo ESR

Salud y Seguridad

OHSAS 18001 - Sistema de Gestión de Seguridad y Salud en el

Trabajo

ISO 22320 - Gestión de Emergencias

ISO 39001 - Seguridad Vial

Asesoramiento en Cumplimiento de Leyes Nacionales en materia de

Riesgos Laborales y Salud Ocupacional

Servicios de Coordinación de Seguridad y Salud

Asistencia Técnica Integral en PRL

Coordinación de Actividades Empresariales

Estudios de Seguridad y Salud

Elaboración e Implantación de Planes de Seguridad y Salud

Elaboración e Implantación de Planes Específicos de Seguridad

Elaboración de Planes de Trabajo para Empresas con Riesgo de

Exposición al Amianto

Elaboración y Mantenimiento del Documento de Protección contra

Explosiones (ATEX)

Informes Técnicos Especializados

Planes de Autoprotección

Estudios Específicos. Mediciones de contaminación física, química y

biológica

Informes Periciales para Juicios, relacionados con la Prevención de

Riesgos Laborales

Directivas Europeas

Directiva Baja Tensión 2014/35/UE. Material Eléctrico

Directiva 2014/30/UE. Compatibilidad Electromagnética (CEM)

Directiva 2014/68/UE. Equipos a Presión

Directiva 2010/35/UE. Equipos a Presión transportables

Directiva 2009/142/CE. Aparatos de Gas

Directiva 2000/1/CE. Instalaciones de transporte de personas por cable

Directiva 89/686/CEE. Equipos de Protección Individual

Directiva 2006/42/CE. Máquinas

Directiva 2014/33/UE. Ascensores

Directiva 2009/48/CE. Juguetes

Directiva 93/42/CEE. Productos Sanitarios

Seguridad Alimentaria

ISO 22000 - Sistemas de Gestión de la Inocuidad Alimentaria

Protocolos BRC y BRC-IOP

Protocolo IFS

Protocolo Global GAP

Esquema FSSC 22000 - Sistemas de Gestión de la Inocuidad

Alimentaria

HACCP Análisis de Peligros y Puntos Críticos de Control

Producción Controlada de Frutas y Hortalizas

EN 15593 - Gestión de Higiene en la Producción de Envases

Buenas Prácticas de Manufactura (BPM)

Buenas Prácticas de Almacenamiento (BPA)

Distintivo H (México)

Industria Limpia (México)

NOM 251 (México)

México GAP (México)

Riesgos y Seguridad

ISO 31000. Gestión del Riesgo

ISO/IEC 27001. Sistemas de Gestión de la Seguridad de la Información

ISO 22301. Sistemas de Continuidad del Negocio

ISO 14298. Gestión de Procesos de Impresión de Seguridad

ISO 28000. Especificación para Sistemas de Gestión de la Cadena de

Suministro

ISO 28001. Sistemas de Gestión de la Cadena de Suministro

Estándares Nacionales de la Cadena de Suministro

BASC. Comercio Seguro

ISO 19600. Sistemas de Gestión de Compliance

ISO 37001. Sistemas de Gestión Antisoborno

Leyes Nacionales en Materia de Protección de Datos Plan de Prevención de Delitos Penales

*Normas y referenciales más relevantes consulte a su asesor o en www.intedya.com el catálogo completo de soluciones

Estándares nacionales en materia de Protección de datos personales

Derecho a la intimidadProtección contra injerencias arbitrarias en vida privada, familia, domicilio

o correspondencia, y ataques a la honra y reputación

Art. 12 de la Declaración Universal de los Derechos del Hombre

Art. V de la Declaración americana de los Derechos y Deberes

Art. 8 del Convenio para la Protección de los Derechos y Libertades Fundamentales

Art. 17 del Pacto Internacional de los Derechos Civiles y Políticos

Precursores

La importancia de la protección de datos

Uso de internet

Facilita el intercambio

de información y las

comunicaciones

• Uso indiscriminado de

datos personales de

usuarios

• Pérdida de privacidad

La información es el mayor activo para cualquier organización y la adecuada gestión de los datos

personales usados supone un reto para las mismas.


La importancia y la necesidad de proteger los datos personales

Proteger datos personales debe ser un objetivo permanente para las organizaciones

La gestión de datos personales se ha convertido en un proceso estratégico que, de forma simultánea, analiza cuestiones de seguridad de la información, teniendo en cuenta que son datos sensibles.


Amenazas a las que nos enfrentamos

Mayor dependencia de los sistemas, y las TICs

Complejidad y vulnerabilidad de

la tecnología empleada

Volumen de información cada

vez más importante

Crecimiento exponencial de las

redes y usuarios interconectados

Aumento de las bases de

datos on-line

Uso masivo del cloud

computing

Inmadurez de las nuevas

tecnologías

Alta disponibilidad de las herramientas

automatizadas para ataques a la seguridad

Técnicas de ingeniería

social

Falta de concienciación y

formación del personal

Rentabilidad de los ataques


Leyes de protección de datos personales

“Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de

su correspondencia”(Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales)

Garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente

de su honor e intimidad personal y familiar.


Legislación en materia de protección de datos personales


EEUUCOPPA.

HIPAA.

FATCA.

EUDirectiva 95/46/CE

Reglamento (UE) 2016/679

Diversos países han promulgado leyes de protección de datos personales , buscando adaptar, a sus propias condiciones culturales, económicas y políticas, las bases de alguno de los dos modelos de protección de datos personales existentes.


Portugal

Ley 67/98 de protección de datos personales de Portugal

EspañaLey Orgánica 15/1999

RD 1720/2007

Instrucciones complementarias


ColombiaLey de Protección de Datos Personales

• Ley 1581 de 2012

• Decreto reglamentario 1377 de 2013

ArgentinaLey de Protección de Datos Personales

• Ley 25.326

• Decreto 1558/2001

MéxicoLey Federal de Protección de Datos Personales en Posesión de los Particulares

5 de julio de 2010

PerúLey 29733 Ley PDP

Reglamento de la ley 29733 PDP

Directiva de Seguridad.

NTP-ISO/IEC 27001:2008

Diversos países han promulgado leyes de protección de datos personales , buscando adaptar, a sus propias condiciones culturales, económicas y políticas, las bases de alguno de los dos modelos de protección de datos personales existentes.



“Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia” (Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales)

La protección de datos hace referencia a la garantía o la facultad de control de la propia información frente a su tratamiento automatizado o no.

El objetivo de estas normas es garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

Fundamentos de las leyes de protección de datos


Desarrollar mecanismos para adecuar el uso de datos personales.

Capacitar y concienciar al personal

Implementar políticas y medidas de seguridad en la conservación y custodia de los datos personales

Designación de las figuras necesarias para la implementación efectiva de las leyes de protección de datos

Adecuación de contratos, políticas, normas,..

Aspectos en común


ÁMBITO DE APLICACIÓN

Los datos personales contenidos o destinados a ser contenidos en bancos/ficheros de datos personales de la administración pública y privada cuyo tratamiento se realiza en el territorio nacional. Siendo de objeto especial los datos sensibles.

EXCLUSIÓN*

Datos personales creados por personal naturales para fines exclusivamente relacionados con su vida privada o familiar.

Bancos/ficheros de datos de administración pública cuando su tratamiento resulte necesario para el estricto cumplimiento de la competencias asignada por ley a las respectivas entidades públicas, para la defensa nacional, seguridad pública y par el desarrollo de actividades en materia penal para la investigación y

represión del delito.

A quién va dirigida

Garantizar el derecho fundamental a la protección de datos personal.


Responsable del fichero: Persona natural, persona jurídica de derecho privado o entidad pública que decide o determina la finalidad y contenido del banco/fichero de datos personales, el tratamiento de los datos almacenados en éste

y las medidas de seguridad.

Encargado del tratamiento de datos personales: Encargado de utilizar los datos.

Es el responsable o titular del fichero, el obligado a cumplir las obligaciones impuestas en la ley.

¿Quién están obligados a cumplir estas leyes?


Se encargan de:

Supervisar la administración y actualización del Registro de los ficheros/ bancos de Protección de Datos Personales.

Resolver las reclamaciones formuladas por los titulares de datos personales en tutela de sus derechos de acceso, rectificación, cancelación y oposición.

Emite opinión técnica vinculante respecto de los proyectos de normas que regulen los datos personales y emite las directivas para la adecuada aplicación de la Ley de Protección de Datos Personales y su Reglamento.

La Dirección General de Protección de Datos Personales ejerce las funciones administrativas, orientadoras, normativas, resolutivas, fiscalizadoras y sancionadoras a través de las siguientes unidades orgánicas:

Dirección de Registro de Protección de Datos Personales

Dirección de Supervisión y Control

Dirección de Sanciones

Dirección de Normatividad y Asistencia Legal

Autoridades nacionales de protección de datos


El OBJETIVO PRINCIPAL de las Leyes de Protección de Datos de Carácter Personal es el Garantizar el derecho fundamental a la protección de datos personal.

Hacer frente a los riesgos para los derechos de la personalidad pueden suponer el acopio y tratamiento de los datos personales.

Identificar y clasificar los datos personales que la organización trata.

Establecer las medidas técnicas, organizativas, y físicas necesarias para dar cumplimiento con la mencionada normativa.

Revisar y controlar la eficacia del sistema puesto en marcha.

Objetivo


¿Por qué es importante?

Implementación de la Leyes nacionales de protección de datos

Obligación de cumplir con la legislación en materia de protección de datos personales aplicable a cada país.

La información es fundamental para las operaciones de todos los días, aunque no siempre es propiedad de las empresas, sobre todo si consideramos que estos datos pueden pertenecer a los clientes o usuarios, debemos cumplir con determinadas obligaciones legales.

Convierte la obligación legal en una ventaja para la imagen de tu empresa


Beneficios para la organización

Las organizaciones que implementan la ley de protección de datos en su organización:

Garantizar la seguridad de los datos de carácter personal gestionados por la organización.

Transmitir confianza a los clientes y usuarios de la organización.

Evitar penalizaciones por incumplimientos de la legislación.

Control más eficaz sobre los datos personales tratados por la organización.

Ayuda a establecer pautas y medidas necesarias que de forma directa ayudan a la empresa a proteger su activo más valioso: sus clientes (copias de seguridad, custodia de documentación, etc.).


Ventajas para los grupos de interés

Las personas cuyos datos personales se benefician claramente de la implementación de esta legislación en una organización:

Los clientes, usuarios perciben una mejor gestión de los datos personales, realizados por la organización.

Los encargados de tratamiento conocen cuáles son sus funciones y responsabilidades en el tratamiento de datos personales.

El personal interno trabaja de forma más eficaz y con una mayor motivación debido a la comprensión de la importancia de su contribución individual y conocimiento del tratamiento realizado por sus datos.


Notificación e inscripción de ficheros /bancos en el Registro General de Protección de Datos. (En función de la normativa aplicable al país)

Cumplimiento del deber de información del interesado y, en su caso, la obtención del consentimiento para el tratamiento de su información de carácter personal.

Formalización de contratos de acceso a datos por cuenta de terceros ycontratos de prestación de servicios sin acceso a datos por terceros.

Elaboración del Documento de seguridad e implantación de medidas de seguridad de carácter técnico , organizativo y legal en el sistema de información.

Formación del personal: usuarios y responsables de seguridad.

Requisitos clave. Obligaciones del Responsable del Fichero


¿Quién es el titular del banco de datos personales?

Proceso automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.

Conservar

Bloquear

Difundir

Recopilar

Transferir

Suprimir

Organizar

Registrar

Almacenar

Consultar

DATOS PERSONALES

Tratamiento de datos personales


Principio de comunicación

Principiode legalidad

Principiode finalidad y

proporcionalidad

Principiode

consentimiento

Principio deseguridad

Principio dedisposiciónde recurso

Principio denivel de

protección adecuado

Principios de protección de los datos personales

Principio deinformación

Principio de calidad


Derechos del titular


PUNTOS CLAVES

INFORMACIÓN

IMPUGNACIÓN/ IMPEDIR EL SUMINSITRO

CONSULTA

ACCESO

RECTIFICACIÓN Y CANCELACIÓN

OPOSICIÓN

INDEMNIZACIÓN

TUTELA DE DERECHOS

DERECHO A CONSULTA

“Conjunto organizado de datos personales, automatizado o no, independientemente del soporte, sea físico, magnético, digital, óptico u otros que se creen, cualquiera fuere la forma o modalidad de su creación, formación, almacenamiento, organización y acceso”.

Clasificación en función de la entidad responsable del mismo:

Ficheros de titularidad privada. Ficheros de titularidad pública.

Clasificación atendiendo al tipo de tratamiento:

Automatizados. No automatizados. Mixtos.

Ficheros/bancos de datos personales


Principios y Obligacionesde Protección de Datos

Personales

Principios:Legalidad / Consentimiento / Finalidad / Proporcionalidad / Calidad / Seguridad

Obligaciones:Obligación de informar / Obligación de contar con consentimiento y autorización

Medidas de Seguridad:Inscripción del banco de datos / Condiciones de Seguridad Interna / Políticas y procedimientos / Medidas de seguridad organizativas, jurídicas y técnicas

Controles de seguridad

1. De Nivel Técnico

1. De Nivel Físico

1. De Nivel Administrativo

Considerando tanto impreso como en formato digital, ya sea en custodia del área de Sistemas o de otras áreas de la organización.

Procesos de Negocio y Legales

Procesos de TI

Tratamiento de datos personales (por internos y por terceros) según su:

Obtención Uso Divulgación Almacenamiento

Datos sensiblesDatos personales

Aspectos comunes


1. Básico

2. Medio

3. Alto

1. Datos identificativos, características personales, circunstancias sociales o familiares, así como de empleo o puestos de trabajo anteriores.

2. Comisión de infracciones administrativas o penales, información de solvencia patrimonial, financiera o créditos, administraciones tributarias, de las entidades gestoras y servicios de la Seguridad Social o mutuas de accidentes y enfermedades profesionales, que permitan evaluar determinados aspectos de la personalidad o comportamiento de las personas.

3. Ideología, afiliación sindical, religión o vida sexual, los que contengan datos derivados de actos de violencia de género así como aquellos que hayan sido recabados para fines policiales

Categorización Justificación de criterio

Ley Orgánica 15/1999 de protección de datos Española

Según el país está clasificación difiere

Medidas de seguridad


1. Básico

2. Simple

3. Intermedio

4. Completo

5. Crítico

1. Volumen de Registro

2. Número de datos

3. Período de tiempo

4. Titularidad del banco

5. Finalidad de tratamiento

6. Múltiple locaciones

7. Tratamiento de datos sensibles

Categorización Justificación de criterio

Ley N° 29733 de

protección de datos de

Perú

Según el país está clasificación difiere



Acuerdos encargados de tratamiento

Cláusulas confidencialidad trabajadores

Disposiciones Específicas

Medidas de seguridad Jurídica

Medidas de seguridad Técnica

Controles Generales de Tecnología de información

Medidas de seguridad Organizativa

Determinación de responsabilidad y funciones

Revisión y auditoría

Políticas y procedimientos

Seguridad de información



Seguridad Jurídica

Registro ficheros

Documento Seguridad

Acuerdos encargos de tratamiento y cláusulas confidencialidad

Organizativas

Implementar documento seguridad

Formación de los afectados (Difusión)

Responsable de Seguridad

Notificación y Gestión de Incidencias

Control de acceso físico

Distribución y etiquetado de soportes

Auditoria

Información ejercicio derechos / Deber de informar

Cesión / Encargados del tratamiento

Técnicas

Control acceso lógico

Identificación y Autenticación

Gestión de Soportes

Backups y Recuperación de los datos

Pruebas con datos reales

Registro de accesos

Telecomunicaciones

Control acceso físico



Régimen sancionador

Específico para cada Ley de Protección de Datos

LEVESMulta de 601,01 € y 60.101,21 €

GRAVESMulta de

60.101,21 € y 300.506,25 €

MUY GRAVEMulta de

300.506,25 € y 601.012,1 €


Ejemplos de acciones a realizar en aplicación de esta norma*

*Las acciones indicadas son sólo ejemplos, estás deberán ser adaptadas a la realidad y necesidades de cada organización

Firma de los encargos de tratamiento con la asesoría, empresa de video-vigilancia, empresa de mantenimiento informático, empresas de hosting web,

Redacción de avisos legales y políticas de privacidad.

Redacción de cláusulas de protección de datos relativas a la información

Arbitrar procedimientos para el ejercicio de los derechos de acceso, rectificación, oposición y cancelación.

Efectuar una Auditoría periódica (en caso de nivel medio o alto).

Redacción de los contratos, formularios y cláusulas necesarias para la recogida de datos, los tratamientos por terceros y las cesiones o comunicaciones de datos.

Realización de copias de seguridad.

Designación responsable de seguridad.

Gestión de incidencias

Firma de cláusulas de confidencialidad con los trabajadores


Ejemplos de acciones a realizar en aplicación de esta norma*

Registro de acceso a los distintos ficheros de la empresa.

Política de gestión de contraseñas

Relación actualizada de usuarios y perfiles de acceso

Identificación del personal externo con acceso a los datos personales

Inscripción de ficheros ante las autoridades nacionales competentes

Identificación de soportes con datos personales

Designación del responsable de seguridad

Destructoras de papel para la eliminación de CV, datos de usuarios,…

Destrucción física de CD que alberguen datos personales

Aviso de que la empresa tiene instaladas cámaras de seguridad

Instalación de antivirus

*Las acciones indicadas son sólo ejemplos, estás deberán ser adaptadas a la realidad y necesidades de cada organización


Mitos y Leyendas

¿Puede una organización permitirse no proteger los datos personales?

La Leyes en materia de protección de datos personales no están concebidas para la seguridad de las empresas, sinopara salvaguardar los derechos personales de las personas y en concreto, su privacidad y en atención a ello, lasempresas deben tener en cuenta que el cumplimiento de las obligaciones de las normativas de Protección de Datosde Carácter Personal, que le sean de aplicación.

Nuestro deber ante todo es informar adecuadamente al cliente, personal,… o aquella persona de la cual tratemossus datos personales, del alcance de la Ley, las obligaciones y sanciones que engloba.

Es por eso que es un grave error el pasar por alto la obligatoriedad de implantar la Leyes de protección de datos, simplemente por el hecho de verlo como algo secundario.


¿Qué puedo esperar de las leyes de protección de datos personales?

Garantiza que los datos personales están protegidas, disponibles, y accesibles.

Proporcionará mecanismos y controles para la protección de los datos personales tratados por la organización.

Claridad en la identificación de funciones yresponsabilidades relativas al tratamiento de datos personales.

Gestión eficaz de las incidentes que afecten al tratamiento de los datos personales.

Preservación adecuada de los datos personales de nuestros proveedores, clientes, usuarios,… y de la propia organización.

Prevenir posibles sanciones.

LEYES DE PROTECCIÓN

DE DATOS PERSONALES


¿Qué puedo esperar de LOPD?

Control de los accesos a los datos personales.

Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados.

Garantiza el cumplimiento de los deberes de secreto y seguridad

Garantizar que se informa a los titulares de los datos personales en la recogida de éstos y se obtiene el consentimiento para su tratamiento.

Se establecen mecanismos para el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.

Seguridad en las cesiones y tratamientos de datos por terceros.


LEYES DE PROTECCIÓN

DE DATOS PERSONALES

Contáctenos ahora y apueste por el

“DESARROLLO COMPETITIVO”

[email protected] | www.intedya.com

www.intedya.com

Nuestra Estrategia, EL DESARROLLO COMPETITIVO.

Documents

Nuestra Estrategia, SGI - Sistema de Gestión de la ... en la informacion y... · NTP-ISO/IEC 27001:2008 Diversos países han promulgado leyes de protección de datos personales ,